«На гостевой машине стоит openDNS» — через dnssec надеюсь (dnscrypt.info/implementations/)? Иначе смысла в этом openDNS нет, с тем же успехом можно и вашего провайдера указать.

Мой совет состоит в том, что вам надо предусмотреть возможность, что в ваш трафик активно вмешивается кто-то по дороге к вашему ДНС серверу или ВПН.
Если бы вы следовали тому, что я вам написал, то у вас не возникало бы проблемы, поскольку тогда вы бы точно знали, что и куда у вас имеет права ходить, а что не имеет. А отброшенные пакеты надо в первую очередь анализировать, хотя бы адреса источника/назначения и порты назначения.
Я вам всё же предложу нормально нарисовать свою сетку (на бумаге), расписать адресацию, маршрутизацию, открытые порты и допустимые адреса назначения для блокирования стенкой. И блокировать нужно на каждой активной железке, поскольку у каждой железки должны быть свои права доступа к сети (которые вы выше разрисуете на бумажке).
PS: а то, на чём вы строите сетку особого значения не имеет (в данном случае ОС и маршрутизаторы), важно понимание работы сети и тотальный запрет любых маршрутов, которые не разрешены вашей схемой.

Вести с полей.
Я поднял на сервере свой днс, проходящий через впн. При этом установлено принудительное использование dnssec.
На всех узлах сети с помощью iptables запрещён приём и отправка пакетов на 53 порт.
Все сайты, показывающие утечки днс показывают адрес моего сервера. Я даже пробовал запускать браузер в контейнере, но всё равно ничего не поменялось.
Гугл как показывал мой город, так и показывает =(

рили настолько все плохо? А то порой эпл называют компанией добра. у которой какие-то чипы безопасности и прочие ништяки из коробки блюдят приватность

Короче это такая довольно сложная материя.
Если ты не задрот и не хочешь дрочить наждачкой, но хочешь немного приватности, то твой выбор это эпл.

Ну и у эпл ощутима лучше защита от пидоров типа товарища майора (от капитана Америки правда все плохо скорее всего с защитой, но ты живёшь не в Америке).